Die neue Sicherheitslücke in Plugin Litespeed-Cache, sorgt seit dafür, dass WordPress Websites mit Malware befallen wurden. In diesem Beitrag erfährst du weitere Informationen über den Befall.
Sicherheitslücke
Plugin: litespeed-cache (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N)
Betroffene Version: 5.7
Gepatchte Version: 5.7.0.1
Mehr Informationen gibt es auch unter wp-content/plugins/litespeed-cache/readme.txt nachzusehen.
Symptome
- Erstellung von Admin-Benutzern
- Umleitungen, die von js generiert werden, die über die Funktion clean_header() in wp_head eingehängt werden
- infizierte Kerndateien wie wp-blog-header.php
Ausführung
Angreifer können durch das WordPress Plugin beliebige Webskripte in Seiten einfügen, die ausgeführt werden, sobald sich ein Administrator zum ersten Mal in seinem WordPress Dashboard anmeldet. Das Plugin installiert sich dabei am selben Tag und zur selben Uhrzeit als die Anmeldung erfolgt ist.
Nachvollziehen kann man das Ganze in der access.log Datei.
php use a base64 url =base64_decode("aHR0cHM6Ly9kbnMuc3RhcnRzZXJ2aWNlZm91bmRzLmNvbS9zZXJ2aWNlL2YucGhw"); point to hxxps://dns[.]startservi**founds[.]com/service/f.php (url auf der schwarzen Liste)
Quellen
https://www.reddit.com/r/Wordpress/comments/1balppf/wpcleansong (User: gemedj89)
https://www.risorsainformatica.com/rimozione-malware-sito-wordpress/
Hinweise
Erstmals entdeckt am 27. Februar 2024
Vorbeugung
- Update auf die neueste Version des Litespeed-Cache-Plugins
- HTTP(S)-Überwachung für /plugins/wp-cleansong/plane.php
- Blockiere mit htaccess die Anfragen an song und song1
RewriteEngine On
RewriteCond %{QUERY_STRING} song1 [NC,OR]
RewriteCond %{QUERY_STRING} song2 [NC]
RewriteRule ^ - [F]
- Zudem kannst du auch plane.php blockieren
Malware-Entfernung
Solltest du Probleme bei der Malware Bereinigung haben, kannst du als WPspace Kunde auf unsere Malware Entfernungsservice zurückgreifen. Dabei scannt unser Team deine WordPress-Installation nach Malware und bereinigt diese bestmöglich.
Solltest du unsere Malware Bereinigung in Anspruch nehmen wollen, kannst du uns einfach eine Nachricht über den Support Chat auf wp-space.de schreiben. Dabei entstehen einmalige Kosten in Höhe von 250 € zzgl. USt.
Was beinhaltet der Malware Bereinigung?
- Wir überprüfen und untersuchen die verdächtigen Dateien gewissenhaft.
- Wir bereinigen deine WordPress Seite und entfernen dabei den Schadcode, sowie die neu angelegten Benutzer und treffen weitere Maßnahmen, um deine WordPress Website zu schützen.
- Wir informieren dich, sobald die Arbeiten abgeschlossen sind.
- Solltest du hinterher noch immer Probleme damit haben, kannst du uns einfach kontaktieren.